本文系深潛atom第499篇原創(chuàng)作品

2022年6月2日，美國(guó)國(guó)土安全部下屬的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）與美國(guó)食品藥品監(jiān)督管理局（FDA）相繼發(fā)布聲明，對(duì)相關(guān)臨床實(shí)驗(yàn)室和醫(yī)療機(jī)構(gòu)做出警示，希望它們關(guān)注因美納（Illumina）部分測(cè)序儀的本地運(yùn)行管理器軟件（LRM）存在的網(wǎng)絡(luò)安全漏洞可能帶來(lái)的風(fēng)險(xiǎn)。

△FDA和CISA警告

據(jù)相關(guān)媒體報(bào)道，從FDA和CISA此前的報(bào)告來(lái)看，涉及到這一網(wǎng)絡(luò)安全漏洞的產(chǎn)品非常多，覆蓋了因美納幾乎所有中小型設(shè)備，占其整體銷量的90％。

基因測(cè)序產(chǎn)業(yè)鏈上游包括基因測(cè)序儀及配套試劑生產(chǎn)制造商，在上游設(shè)備、試劑、耗材等供應(yīng)環(huán)節(jié)，呈典型的寡頭壟斷競(jìng)爭(zhēng)格局。目前，二代測(cè)序儀仍然占據(jù)市場(chǎng)主流，自2017年因美納不斷蠶食其他廠商的市場(chǎng)份額，逐漸形成了一家獨(dú)大的局面。2018年市場(chǎng)份額已增長(zhǎng)至84％，穩(wěn)居第一。

可以說(shuō)，因美納是全球當(dāng)之無(wú)愧的具有絕對(duì)壟斷地位的基因頭部企業(yè)。因此，這次暴露的安全漏洞，才會(huì)引起如此廣泛的關(guān)注。

01 壟斷巨頭的安全漏洞

根據(jù)網(wǎng)絡(luò)安全門戶極牛網(wǎng)的梳理，本次暴露的安全漏洞如下：

CVE－2022－1517（CVSS 評(píng)分：10）－ 操作系統(tǒng)級(jí)別的遠(yuǎn)程代碼執(zhí)行漏洞，可能允許攻擊者篡改設(shè)置并訪問敏感數(shù)據(jù)或 API。

CVE－2022－1518（CVSS 評(píng)分：10） – 一個(gè)目錄遍歷漏洞，可能允許攻擊者將惡意文件上傳到任意位置。

CVE－2022－1519（CVSS 評(píng)分：10） – 任何文件類型的無(wú)限制上傳問題，允許攻擊者實(shí)現(xiàn)任意代碼執(zhí)行。

CVE－2022－1521（CVSS 評(píng)分：9．1） – 默認(rèn)情況下，LRM 中缺乏身份驗(yàn)證，使攻擊者能夠注入、修改或訪問敏感數(shù)據(jù)。

CVE－2022－1524（CVSS 評(píng)分：7．4）－ LRM 2．4 及更低版本缺少 TLS 加密，攻擊者可能會(huì)利用該加密進(jìn)行中間人 （MitM） 攻擊和訪問憑據(jù)。

這里先解釋一下CVSS評(píng)分，它是指通用漏洞評(píng)分系統(tǒng)，英文對(duì)應(yīng)Common Vulnerability Scoring System。CVSS旨在評(píng)估安全漏洞的嚴(yán)重性，是全球各組織使用的公開標(biāo)準(zhǔn)。在極牛網(wǎng)梳理的這5大安全漏洞中，CVSS評(píng)分為10分的就有3項(xiàng)。具體來(lái)說(shuō)，CVSS評(píng)分為10分的安全漏洞所代表的含義是——攻擊的復(fù)雜度極低，無(wú)需復(fù)雜的技術(shù)能力就可以利用該漏洞，漏洞利用對(duì)對(duì)機(jī)密性、完整性和可用性的影響都高。

△CVSS評(píng)分

這些安全漏洞除了可以實(shí)現(xiàn)對(duì)基因測(cè)序儀進(jìn)行遠(yuǎn)程控制外，還可以影響患者的臨床測(cè)序結(jié)果，從而導(dǎo)致診斷過程中的結(jié)果被篡改。雖然目前沒有監(jiān)測(cè)到這些漏洞被廣泛利用，但鑒于漏洞的威脅程序極高，建議Illumina基因測(cè)序儀客戶盡快升級(jí)相應(yīng)的安全補(bǔ)丁。

在6月8號(hào)的因美納官方回應(yīng)中，因美納只是概述了這些漏洞的風(fēng)險(xiǎn)，以及他們及時(shí)發(fā)布了修復(fù)補(bǔ)丁。并沒有對(duì)今后如何規(guī)避這種風(fēng)險(xiǎn)做出回應(yīng)，只是以大而化之的“未來(lái)規(guī)劃”一筆帶過。在深潛atom看來(lái)，這個(gè)“未來(lái)規(guī)劃”，某種意義上更多的都是理念性的表態(tài)，并沒有實(shí)質(zhì)性的內(nèi)容。

事實(shí)上，這不是因美納在今年第一次出現(xiàn)安全和產(chǎn)品問題。2022年3月，因美納就曾在其官網(wǎng)發(fā)布公告，主動(dòng)召回基因測(cè)序儀 NextSeqTM 550Dx Instrument。本次召回涉及的國(guó)家比較多，除中國(guó)之外，還囊括了美國(guó)、英國(guó)、澳大利亞等25個(gè)國(guó)家和地區(qū)，共計(jì)召回621臺(tái)，中國(guó)152臺(tái)。

△因美納召回設(shè)備

6月13日，F(xiàn)DA官網(wǎng)要求因美納在全球范圍內(nèi)召回1813臺(tái)測(cè)序儀。但因美納并未進(jìn)行實(shí)物召回，選擇的是軟件升級(jí)。根據(jù)因美納的回應(yīng)，此次隱患屬于網(wǎng)絡(luò)安全范疇，國(guó)內(nèi)相當(dāng)數(shù)量的測(cè)序儀不聯(lián)入任何網(wǎng)絡(luò)，風(fēng)險(xiǎn)只存在于內(nèi)部，測(cè)序儀并不存在隱患。

但這個(gè)說(shuō)法是站不住腳的。實(shí)際上早在2018年，因美納就推出了BaseSpace，啟動(dòng)了基因云計(jì)算平臺(tái)。BaseSpace的全稱是Illumina BaseSpace Sequence Hub 基因云計(jì)算平臺(tái)，因美納為了配合其在中國(guó)市場(chǎng)的推廣，還給它起了一個(gè)易記的本土化名字“零維度”。

△BaseSpace

按照因美納官方的解釋，BaseSpace Sequence Hub作為BaseSpace Suite的主要部件，是客戶Illumina儀器最直接的擴(kuò)展項(xiàng)。因?yàn)閮x器生成的加密數(shù)據(jù)直接導(dǎo)入BaseSpace Sequence Hub，客戶可以利用一套精選的分析應(yīng)用程序來(lái)輕松地管理和分析數(shù)據(jù)。BaseSpace Sequence Hub由亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）提供支持。

BaseSpace作為基因云計(jì)算平臺(tái)，是因美納的重要產(chǎn)品；“將測(cè)序數(shù)據(jù)轉(zhuǎn)化為標(biāo)準(zhǔn)格式，并直接傳送到云端，提高分析效率；可訪問計(jì)算資源，無(wú)需內(nèi)部基礎(chǔ)設(shè)施的資金支出”的“云”架構(gòu)，是其產(chǎn)品的核心賣點(diǎn)。

BaseSpace成為了因美納的一個(gè)重要支撐服務(wù)，因美納也說(shuō)BaseSpace可以為客戶業(yè)務(wù)帶來(lái)幫助。如果中國(guó)測(cè)序儀不能聯(lián)網(wǎng)，那么因美納為什么要推出BaseSpace？如果中國(guó)測(cè)序儀不能聯(lián)網(wǎng)，BaseSpace又如何能夠幫助客戶提高服務(wù)效率呢？更重要的是，不能聯(lián)網(wǎng)何以稱之為“云計(jì)算平臺(tái)”？

此次，因美納的召回等級(jí)也是二級(jí)，二級(jí)的定義是有可能會(huì)引起暫時(shí)或者不可逆的健康損害，但因美納的回應(yīng)卻避重就輕、云淡風(fēng)輕。

或許針對(duì)醫(yī)院的聯(lián)網(wǎng)方案有特殊要求，但因美納客戶眾多，同樣有很多醫(yī)療機(jī)構(gòu)和企業(yè)是可以聯(lián)網(wǎng)的。毫無(wú)疑問，因美納又自稱在中國(guó)銷售的基因測(cè)序儀不聯(lián)網(wǎng)，有些自相矛盾。面對(duì)如此重大的安全漏洞，因美納卻只想通過最低的代價(jià)搪塞過去，有違其國(guó)際巨頭的身份，更是對(duì)中國(guó)市場(chǎng)和客戶的藐視。

02 掘金中國(guó)，成就壟斷地位

作為基因檢測(cè)行業(yè)的早期的參與者，1998年成立的因美納選擇卡位上游，快速成為全球最大產(chǎn)品、技術(shù)和服務(wù)供應(yīng)商，對(duì)于整個(gè)行業(yè)發(fā)展都舉足輕重。如今，很多人都吐槽基因檢測(cè)產(chǎn)品價(jià)格太高，就是因?yàn)樾枰�依托上游的因美納。有行業(yè)從業(yè)者對(duì)深潛atom表示，因美納不降價(jià)，基因檢測(cè)成本就很難下來(lái)，產(chǎn)品的價(jià)格也很難被打下來(lái)。

掌控了市場(chǎng)和定價(jià)權(quán)的因美納，在2021財(cái)年?duì)I收和利潤(rùn)都出現(xiàn)了大幅度增長(zhǎng)。其中營(yíng)收45．26億美元同比增長(zhǎng)40％；歸屬母公司凈利潤(rùn)7．62億美元，同比增長(zhǎng)16．16％。其中，因美納在大中華區(qū)（中國(guó)）產(chǎn)生了5．02億美元收入，幾乎是前一年?duì)I收的150％，占總營(yíng)收的11．1％。

自2005年進(jìn)入中國(guó)市場(chǎng)后，因美納成為了中國(guó)改革開放和醫(yī)療健康快速發(fā)展的受益者，快速占領(lǐng)中國(guó)70％的基因測(cè)序市場(chǎng)。

很大程度上，正是中國(guó)市場(chǎng)，成就了因美納的霸主地位。尤其是在新冠疫情爆發(fā)后，因美納更是賺的盆滿缽滿。

新開源、安必平、貝瑞基因和金域醫(yī)學(xué)等頭部基因科技企業(yè)，已經(jīng)分別與因美納達(dá)成合作協(xié)議，基于因美納的系統(tǒng)進(jìn)行體外診斷產(chǎn)品的研發(fā)；2021年，先后有超過30家中國(guó)基因檢測(cè)企業(yè)與因美納簽署合作意向。行業(yè)龍頭的地位，讓其可以輕松獲得眾多合作伙伴。

政策上，因美納也受益良多。自2021年以來(lái)，浙江省、海南省、廣東省、四川省、山西省多地相關(guān)部門先后進(jìn)行了醫(yī)療設(shè)備采購(gòu)的政策。有些省份大力推廣國(guó)產(chǎn)醫(yī)療器械，也有省份加強(qiáng)了對(duì)進(jìn)口設(shè)備的依賴。

廣東省委建委發(fā)布了《2021年省級(jí)衛(wèi)生健康機(jī)構(gòu)進(jìn)口產(chǎn)品目錄清單的公示》，進(jìn)口設(shè)備品種從132種下降到46種，為國(guó)產(chǎn)設(shè)備提供了便利；又比如，浙江省也將數(shù)十種設(shè)備移出進(jìn)口清單，需要優(yōu)先采購(gòu)國(guó)產(chǎn)設(shè)備。

2021年四川省進(jìn)口采購(gòu)清單中，醫(yī)療衛(wèi)生實(shí)驗(yàn)室儀器類設(shè)備幾乎都是以進(jìn)口產(chǎn)品為主，包括全自動(dòng)核酸檢測(cè)分析儀、基因測(cè)序儀、自動(dòng)化多通道移液工作站、全自動(dòng)動(dòng)物血常規(guī)分析儀、全自動(dòng)凝血分析儀（動(dòng)物）等都限制了國(guó)產(chǎn)器械。在一些省份逐漸限制進(jìn)口設(shè)備的大背景下，四川省卻放開了進(jìn)口限制，讓因美納繼續(xù)擴(kuò)大中國(guó)市場(chǎng)。

因美納已經(jīng)有兩款測(cè)序儀獲得了我國(guó)藥監(jiān)局的審批，二代基因測(cè)序儀價(jià)格在50－100萬(wàn)美元之間。在合作伙伴和某些地方性政策的推動(dòng)下，因美納2021年在我國(guó)營(yíng)收大幅增加也是正�，F(xiàn)象。

△因美納測(cè)序儀

與一代和二代基因測(cè)序技術(shù)不同，第三、四代基因測(cè)序技術(shù)仍然處于興起階段，但毫無(wú)疑問掌握新一代測(cè)序技術(shù)的企業(yè)，將會(huì)掌握未來(lái)。但在三代測(cè)序和四代測(cè)序上，因美納的積累并不豐富。早在2012年，就計(jì)劃與英國(guó)第三代測(cè)序公司ONT合作，最終失��；而后在2018年擬以12億美元收購(gòu)另一家第三代測(cè)序公司太平洋生物科學(xué)公司，最終結(jié)果依然未如意，反而讓因美納陷入了反壟斷調(diào)查。

03 發(fā)展本土化，

數(shù)據(jù)安全不能假手他人

互聯(lián)網(wǎng)時(shí)代，各行各業(yè)誕生了海量的數(shù)據(jù)。伴隨著互聯(lián)網(wǎng)、人工智能、云計(jì)算、大數(shù)據(jù)等技術(shù)的發(fā)展，數(shù)字化已經(jīng)成為常態(tài)，但數(shù)據(jù)安全性風(fēng)險(xiǎn)也越來(lái)越大。醫(yī)療數(shù)據(jù)是眾多數(shù)據(jù)中比較特殊的存在，醫(yī)療數(shù)據(jù)中包含著眾多私密敏感信息，因此，醫(yī)療信息的安全問題一直備受關(guān)注。

2021年9月1日，我國(guó)首部針對(duì)數(shù)據(jù)安全的《中華人民共和國(guó)數(shù)據(jù)安全法》正式開始實(shí)施，著重強(qiáng)調(diào)了保護(hù)公共衛(wèi)生、醫(yī)療、養(yǎng)老等醫(yī)療健康數(shù)據(jù)安全的重要性。

在過去十幾年，在我國(guó)政策和醫(yī)療機(jī)構(gòu)的支持下，因美納成功占據(jù)了我國(guó)基因測(cè)序的大半市場(chǎng)，理應(yīng)在數(shù)據(jù)安全方面全面配合，但現(xiàn)實(shí)是因美納并未盡數(shù)據(jù)安全相關(guān)的服務(wù)。因美納的產(chǎn)品出現(xiàn)嚴(yán)重的數(shù)據(jù)安全問題，是技術(shù)問題，還是態(tài)度問題呢？

更何況在因美納的回復(fù)中，竟然強(qiáng)調(diào)全球都暫未收到任何表明隱患被利用的報(bào)告。難道沒有患者數(shù)據(jù)被利用就等同于沒有數(shù)據(jù)泄露嗎？而且這已經(jīng)不是第一次因質(zhì)量問題召回產(chǎn)品，這是一個(gè)犯了重要錯(cuò)誤的企業(yè)，應(yīng)該有的認(rèn)錯(cuò)態(tài)度嗎？

我國(guó)有56個(gè)民族，14億人口，貢獻(xiàn)了中國(guó)豐富的遺傳基因數(shù)據(jù)，引起了國(guó)外覬覦，有美國(guó)機(jī)構(gòu)連續(xù)20多年竊取中國(guó)基因信息。2015年國(guó)家文件明確指出，有外方參與的臨床試驗(yàn)，涉及中國(guó)病人采集的樣本，都需要專門申請(qǐng)，但依然有眾多數(shù)據(jù)安全問題出現(xiàn)。但政策并不能阻擋跨國(guó)企業(yè)竊取我國(guó)醫(yī)療信息的欲望，2018年，阿斯利康因?yàn)檫`規(guī)采集、收集、買賣、出口、出境人類遺傳資源和開展超出審批范圍的科研活動(dòng)而被處罰。

2022年3月份，科技部印發(fā)再次強(qiáng)調(diào)我國(guó)醫(yī)療數(shù)據(jù)安全重要性，印發(fā)的《人類遺傳資源管理?xiàng)l例實(shí)施細(xì)則》明確規(guī)定：“人類遺傳資源材料是指含有人體基因組、基因等遺傳物質(zhì)的器官、組織、細(xì)胞等遺傳材料；境外組織、個(gè)人及其設(shè)立或者實(shí)際控制的機(jī)構(gòu)不得在我國(guó)境內(nèi)采集、保藏我國(guó)人類遺傳資源，不得向境外提供我國(guó)人類遺傳資源。”

核心設(shè)備不在自己手中，我國(guó)遺傳信息能否真正得到保護(hù)，猶未可知。哈爾濱工業(yè)大學(xué)網(wǎng)絡(luò)空間安全學(xué)院余翔湛教授接受采訪時(shí)表示，“目前人類基因組數(shù)據(jù)已經(jīng)成為各國(guó)重要的數(shù)據(jù)，涉及種族、國(guó)家安全，受到國(guó)家保護(hù)。這種數(shù)據(jù)一旦泄露后果不堪設(shè)想�！�

與其將數(shù)據(jù)安全寄托于不負(fù)責(zé)任的美國(guó)企業(yè)，不如將數(shù)據(jù)掌握在自己手中。更何況，在基因測(cè)序儀這個(gè)領(lǐng)域，國(guó)產(chǎn)設(shè)備性能并不弱于美國(guó)企業(yè)。在美國(guó)企業(yè)不重視我國(guó)醫(yī)療數(shù)據(jù)的背景下，大力發(fā)展本土化產(chǎn)品，才是解決醫(yī)療數(shù)據(jù)安全問題的核心關(guān)鍵。

       原文標(biāo)題 : 因美納陷數(shù)據(jù)泄露“丑聞”：我國(guó)基因數(shù)據(jù)安全能交給美企嗎？